事前設定された構成を使ってワンクリックでAWS IoT Device Defenderの監査を有効化出来るようになりました

2021.09.25

いわさです。

IoTデバイスの保護を行うためのマネージドサービス AWS IoT Device Defenderが提供されていますが、その設定をワンクリックで有効化出来るようになりました。
従来は監査の開始ウィザードで権限やチェック項目を選択する必要がありましたが、セキュリティのベストプラクティスに沿って事前定義された構成を使ってすぐに開始出来るようになりました。

ワンクリックならまったくこのあたりを触っていない私でも開始出来るのではと思って試してみました。

AWS IoT Device Defenderとは

IoTソリューションにて非推奨の設定を検出したり、証明書等の期限切れ、デバイスを監視し機械学習モデルを用いてアラートするなどをしてセキュリティリスクに関するアラートの送信を行うことで、IoTソリューションにおけるセキュリティリスクへの早期の対策や保護を行うことが出来ます。

実際に設定し監査している記事があるので以下も参照ください。

設定方法

早速設定していって見ましょう。

マネジメントコンソールでAWS IoTを開きます。
防御メニューからIoT セキュリティ監査を自動化を押します。

なんと、これで終わりです。
確認ダイアログすら表示されない。まさにワンクリック。

検出スケジュールから設定された内容の確認と、カスタマイズが可能です。
デフォルトで以下のようなチェックが構成されています。

デフォルトは毎日監査が実行されますが、スケジュール設定の変更も可能です。

何が自動設定されたのかもう少し見てみましょう。
ダッシュボードの自動監査チェックを管理し、監査結果のSNS通知を設定できるを選択すると詳細の確認が出来ました。

サービスロールが自動作成されています。
付与されたポリシーはAWSマネージドポリシーのAWSIoTDeviceDefenderAuditです。

個別のチェックの有効化/無効化はこちらからも設定が可能ですね。

デフォルトではSNSアラートは設定されていません。
必要に応じてトピックの追加を行いましょう。

検出されそうな設定にしてみる

では実際に検出されそうな設定や構築を行ってみて監査結果を見てみたいと思います。
お馴染みのIoT Coreハンズオンに従ってデバイスを構築します。

チェック項目に、IoTポリシーが過度に許容されているというチェック項目がありました。
AWS IoTのセキュリティベストプラクティスではIoTポリシーは最小限の権限を設定することが推奨されています。

今回は最強権限にしてみました。

もうひとつ、個別のデバイス設定ではなくAWS IoT共通設定部分も設定してみましょう。

ログ記録が無効というチェック項目があったので、ログ記録を無効にしておきましょう。
ハンズオンだと3.1.2 AWS IoT のログの設定の項目があるので、そこをスキップすると初めてAWS IoTを使った環境であればオフになっていると思います。

レポートを確認

監査の結果から、監査レポートを確認しましょう。

期待されたとおり、非準拠のチェックリストに先程の2件が挙がってきています。

個別に選択するとより詳細な情報を確認することが出来ます。

まとめ

今回の監査結果でわかったのですが、2021年8月ごろに以下の記事で作成したポリシーもどうやら権限過多だったみたいです。

なるほど、過去に作成したものも含めて現状のすべてを対象にチェックしてくれるのは良いですね。

今までIoT Coreを使ってきたけど、何の項目からチェックすべきかわからないシーンあると思いますが、ワンクリックで気軽に始めれるとなんだか敷居が下がった気がします。
「とりあえず、CloudTrailとConfigは有効化しておこう」に近い感覚でオンにしても良いかもと思いました。

なお、ワンクリック機能によって個別に料金が発生するわけではありませんが、AWS IoT Device Defender自体は使用した分だけ料金が発生するので料金体系は予めチェックしておきましょう。

AWS IoT Device Defender の料金